[技術解説]

老舗セキュリティベンダーのソフォスが掲げる、“完全なる二刀流”の凄みとは

2019年3月18日(月)杉田 悟(IT Leaders編集部)

英ソフォス(Sophos)はコンシューマー製品を扱っていないため、他のウイルス/マルウェア対策製品ベンダーに知名度で一歩譲るものの、“セキュリティ御三家”と同様、1980年代に英国でスタートしたこの分野の老舗ベンダーである。近年AIベンチャーを買収し、先進的なセキュリティアプローチへの評価も得ている同社だが、日本法人の代表取締役である中西智行氏によると、その最大の特徴は「完全なる二刀流」にあるという。

2021年にはビリオンダラーカンパニーに

 ソフォス(Sophos)のセキュリティ業界における立ち位置を見ると、セキュリティ専業のソフトウェアベンダーとしては業界7位の売上規模を誇る。ソフォスより上位の顔ぶれは、エンドポイントのマルウェア/ウイルス対策製品で知られるシマンテック、トレンドマイクロ、マカフィーの“セキュリティ御三家”と、ネットワークセキュリティ製品で知られるフォーティネット、チェック・ポイント・ソフトウェア・テクノロジーズ、パロアルトネットワークスの3社で、いずれも“ビリオンダラー(約1000億円)カンパニー”だ。

写真1:ソフォス代表取締役の中西智行氏

 セキュリティ御三家とほぼ同時期(3社はいずれも1980年代に創業)の1985年に英国で創業したソフォスは、遅ればせながら「2年後の2021年にセキュリティ専業ベンダーとして7社目のビリオンダラーカンパニーに到達する見込み」(中西氏)だという。

 上位6社は、エンドポイントセキュリティ製品を得意とする3社と、ネットワークセキュリティ製品を得意とする3社に分かれるが、ソフォスはその両方の製品をバランスよく合わせ持った「完全なる二刀流」(同氏)だという。

 近年、セキュリティベンダーの製品ラインアップは拡大しており、エンドポイント製品ベンダーがネットワーク製品を、ネットワーク製品ベンダーがエンドポイント製品をラインアップに加えていることは珍しくなくなっているが、当然のことながら取扱量には偏りがある。どこの企業も旧来の分野に比べて新規分野の取り扱いは小さい。

 一方、ソフォスはエンドポイント製品とネットワーク製品の売り上げ規模が拮抗するという真の「二刀流」を実現しているというのがアピールポイント。それを高いレベルで実現していることは、ガートナーのマジッククワドラント2018でエンドポイントセキュリティ、UTMの両部門でリーダー企業に選出されていることからもわかる。

独自プロトコルでエンドポイントとファイアウォールが会話

 通常、ネットワークはネットワークで、エンドポイントはエンドポイントで、部分最適で導入したセキュリティシステムが連携を取ることはない。SIEM(Security Information and Event Management:セキュリティ情報・イベント管理)製品を導入して双方の管理コンソールを統合する方法もあるが、これはデータを1カ所に集めるためのもので、自動連携して次の処理を行うことはできない。

 双方の製品を持つソフォスでは、「セキュリティハートビート(Security Heartbeat)」という独自の通信プロトコルを開発している。このプロトコルを介して「ネットワークとエンドポイントが会話する」(中西氏)ことで、ネットワーク製品「XG Firewall」とエンドポイント製品「Intercept X Endpoint」の自動連携が図られるという仕組みだ。

 例えば、エンドポイントがマルウェア/ウイルスに感染すると通知がファイアウォールに行き、ファイアウォールがエンドポイントを隔離する。エンドポイントでは、感染の検出から隔離、復旧までを自動的に行う。エンドポイントが復旧したら、その旨の通知がファイアウォールに行きネットワークに戻す。これを自動で実行するため、感染から無害化までのタイムロスが最小限に抑えられる。

 ソフォスでは、このエンドポイントとネットワークを組み合わせた対策を「シンクロナイズドセキュリティ(Synchronized Security)」と呼んでいる。

図1:従来のSIEMを使ったセキュリティ対策と、ソフォスの提供するシンクロナイズドセキュリティ(出典:ソフォス「Synchronized Security:巧妙な攻撃に先手を打つベスト・オブ・ブリードの防御システム」)
拡大画像表示

 ただし、大規模なITインフラを抱える企業がシンクロナイズドセキュリティを実現するのは難しい。巨大なシステム群は、さまざまなベンダーのセキュリティ製品で守られており、それらをすべてソフォス製品に置き換えることは現実的ではないからだ。その場合はマルチベンダー対応のSIEMを使い、人手を介して対処するのがベストということになる。

 そのため、「ソフォスのフォーカスポイントは数ユーザーから数千ユーザーまでの中堅・中小マーケット」(中西氏)となっている。この規模の企業の場合、専任のセキュリティ担当者を置いていないところが多く、人手を介さずに自動的に検知から駆除までを行うことにメリットがある。

 (1)ファイアウォールでマルウェアをできるだけふるい落とす、(2)それでもネットワークに入り込んでくるものをエンドポイントで検知、(3)シンクロナイズドセキュリティで自動駆除するという流れが確立されるわけだが、「100%侵入を防ぐことはできない」というセキュリティの常識に鑑みて、入られた後に対処する(4)のソリューションも必要となってくる。それが2018年秋に「Intercept X」の新機能として対応したEDR(Endpoint Detection and Response)だ。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
関連キーワード

Sophos / EDR / SIEM / ディープラーニング / 中堅・中小企業 / エンドポイントセキュリティ / ディープニューラルネットワーク

関連記事

トピックス

[Sponsored]

老舗セキュリティベンダーのソフォスが掲げる、“完全なる二刀流”の凄みとは英ソフォス(Sophos)はコンシューマー製品を扱っていないため、他のウイルス/マルウェア対策製品ベンダーに知名度で一歩譲るものの、“セキュリティ御三家”と同様、1980年代に英国でスタートしたこの分野の老舗ベンダーである。近年AIベンチャーを買収し、先進的なセキュリティアプローチへの評価も得ている同社だが、日本法人の代表取締役である中西智行氏によると、その最大の特徴は「完全なる二刀流」にあるという。

PAGE TOP